Les identifiants AWS de SEGA Europe étaient ouverts à tous

Les informations d'identification AWS de SEGA Europe étaient accessibles au public jusqu'à récemment, permettant aux attaquants de propager des logiciels malveillants via les sites Web de jeux de l'entreprise, entre autres. Les vulnérabilités ont été corrigées.

Les chercheurs de SEGA Europe ont réussi à accéder à, entre autres, la clé de développeur Steam, les mots de passe de la base de données et du forum et la clé API de MailChimp. En particulier, l'accès public aux informations d'identification pour Amazon Web Services aurait pu avoir un impact important, selon un chercheur en sécurité.

Ces informations d'identification fournissaient un accès en lecture et en écriture aux compartiments AWS S3 de SEGA Europe. Il était possible de télécharger des logiciels malveillants et de modifier du contenu dans neuf des domaines publics de l'entreprise. Téléchargements.sega.com, cdn.sega.com, et bayonetta.com, entre autres, étaient des vulnérabilités critiques.

Avec les informations d'identification AWS obtenues, les chercheurs ont pu scanner l'environnement de stockage en ligne de SEGA pour un accès supplémentaire. Les chercheurs ont découvert les premières vulnérabilités en octobre 18. Ils ont partagé leurs découvertes avec SEGA Europe, qui a corrigé les dernières vulnérabilités fin octobre.